您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。

重要政策

:::
金融資安行動方案—追求安全便利不中斷的金融服務

日期:109-10-19
資料來源:新聞傳播處

  • 金融資安行動方案

一、前言

金融業是高度利用資訊科技的產業,營業模式也隨著電子化、數位化、大數據及人工智慧的運用而改變,客戶因科技創新發展而享有極大便利,但在金融科技(FinTech)浪潮下,駭客攻擊事件頻傳,資安問題日益嚴重。據世界經濟論壇(WEF)《2020年全球風險報告》指出,資安風險(包括網路攻擊、個資外洩及資訊服務中斷等)將是未來10年全球須面臨的2大風險之一。

為超前部署做好國內金融資安規範,金融監督管理委員會啟動「金融資安行動方案」計畫,將從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等4大面向,提出 36 項資安措施,以4年為期分階段推動,希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引,藉此強化我國金融業資安防護能力,打造安全、便利、不中斷的金融服務。

二、方案8大重點

(一) 型塑金融機構重視資安的組織文化
為提升金融機構對資安議題之決策功能,推動一定規模金融機構或純網銀設置副總經理層級之資安長。
鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組,帶動機構重視資安的組織文化,亦即把資安當作業務推動的基礎,讓資安成為整體金融機構策略的一部分。

(二) 強化新興科技的資安防護
建議公會增修訂資安自律規範,納入行動應用程式(APP)、雲端服務、開放銀行、Open API、網路身分驗證(eKYC)及資訊服務供應鏈之風險評估,讓金融機構在運用新興科技發展創新業務時,兼顧創新與安全之平衡,及因應金融服務委外及跨業合作發展。

(三) 系統化培育金融資安專業人才
將依據金融資安職能需求訂定人才培訓地圖,強化金融機構資安人才能力建構。
協調周邊單位開設金融資安人才養成專班,與科技公司合作,充實師資及課程,透過產學合作、跨業合作,培育跨領域人才。
鼓勵金融資安人員取得國際資安證照,以培訓符合實務需要的資安人才。

(四) 深化資安情資分享與國際合作
為持續深化金融資安情資分享機制,除多元化資安情資來源外,將導入智能化情資分析方法,以人工智慧(AI)技術及大數據等分析技術提升情資分析效能,並擴大與國際資安機構合作交流,提升資安聯防整體效果,共同對抗國際駭客。

(五) 建構資源共享的資安應變機制
資安事件應變處理具高度時效要求,單一機構資源有其限制,透過個別金融機構資安處理機制,加入金控集團資源、公會協力及金融資安資訊分享及分析中心(下稱F-ISAC)聯防,建立資源共享的資安應變機制,協助業者資安應處。
以戰代訓,辦理跨域情境演練、阻斷服務攻擊(DDoS)、電子郵件社交工程、滲透測試等,以攻防演練來測試國內金融機構的資安實戰能力。

(六) 建置金融資安監控協同體系
 鼓勵金融機構自建資安監控機制(SOC),及早發現網路異常行為,即時掌握資安風險。
 督導F-ISAC建置聯防SOC及訂定資安監控作業標準,透過協同運作,以有效監控整體資安風險,協助金融機構強化資安防護。

(七) 鼓勵導入資安國際標準
 鼓勵金融機構導入國際資安管理標準及國際營運持續管理標準,並取得相關驗證,透過第三方獨立機構檢視管理制度及持續營運之有效性。

(八)  落實復原應變運作機制
 督導公會訂定災害應變運作、復原能力實證等作業韌性參考規範,作為業者遵循依據,並鼓勵金融機構於異地備援演練時,納入實際作業運作驗證。

三、結語

金融市場的穩定發展,對國家經濟成長、持續吸引投資至關重要,金融體系的穩健運作,更攸關國家經濟安全,而金融業在發展科技創新時,勢必會帶來新的資安風險,所以完善資安防護機制很重要。「金融資安行動方案」的推動,即是要建構安全的金融服務發展環境,讓金融機構能在資訊安全的基礎上,提供消費者更安心、便利,且多樣不中斷的金融服務。
 

回頂端